企业网络架构阶段

在6.10号晚听了领跑X计划第一阶段的网络基础课，对课中内容做一个梳理，以下内容参考于深信服培养资料以及自己的一些见解。

阶段一：企业初创

在这种网络环境下，分析流量走势，有两种流量。
（1）两种流量：PC上网和PC访问服务器
①电脑主动访问网站和电脑通过交换机访问共享文件服务器
②电脑主动到外网，电脑主动到服务器（风险也最容易出现在这两个方面），访问外网和U盘有风险。
③安全比较广泛，终端安全、服务器安全、AV+IPS+IDS+WAF+UTM、电脑访问互联网安全+电脑访问服务器安全。
【1】互联网是鱼龙混杂的，一个带有病毒的网站，不是病毒主动进来的，用户主动的行为带回来的，上网路径加入安全防护（出口顶掉或路由器与交换机之间）病毒防火墙
【2】电脑访问内部服务器呢，U盘携带病毒入侵内网，防火墙并不能起到作用，便设置终端防护设备EDR（终端检测与响应）
（2）防火墙过滤钓鱼网站，色情网站，阻断病毒。

阶段二：业务增长

（1）IT建设随着业务的发展而发展的，逐渐业务增长：人多了，有分工，有下属部门-部门职责-上网内容，品牌营销【上行流量】，市场【彩页宣传册选型发邮件】，
（2）吸引客户，搞官网：干啥的，卖啥，招人，外部使用的
（3）财务、订单、crm系统内部使用的，企业邮箱服务器，OA办公系统导致
①有麻烦出现了，不同部门需要不同的权限，研发、财务、市场等部门权限该如何设置？
②对内对外，DMZ从外到内 OA从内到内，黑客通过DMZ搞定内部服务器怎么办，安全等级和使用对象该怎么设计？
【1】分级分域，不同级别的设备放一起，低的设备放一起，不同等级之间的访问，严格控制，低等级流量到高等级流量应作筛查
【2】研发，人事，市场，人权认证，访问控制，防火墙开通网段控制【ACL控制】，电脑拿出去被黑客控制了【IPS】Linux系统漏洞
【3】3个防火墙是不同的，需求导向式销售 W深信服设备该场景最能解决P证明，记忆不同业务场景下-客户的问题
【4】终端防护：用户认证，IP地址与用户要绑定，登录无线【经过上网行为审计】，对角色进行上网行为的管控
【5】泄密追踪：口袋助理名单/通讯录有人泄露给猎头，也可能手机丢了，没有密码，那一段时间接到了，深信服给多少，两倍来不来，口袋助理没法遍历
【6】移动接入安全：在外出差 SSL VPN接入，没有对外开放/端口映射，身份验证/权限管控，地市业务开展，查资料，报销，不是公网接入的【否则黑客也可接入】，网络大学，未对外发布，对内网站，账号密码接入才能连入网络大学，做传输数据加密+身份验证+权限管控
【7】单点故障：非设备，网线挂了/设备挂了/不同运营商访问，LOL选取艾欧尼亚，锻炼意志的祖安区，电信/网通/铁通 延迟低，顺畅，不同运营商机房分布与实力息息相关，南方电信牛逼，传输距离近，延迟低，机房建设设备+协议+标准，游戏服务器在北京，教室-园区电信机房-省电信-骨干-北京网通机房，走的路径短，耗时短，延迟低，大招就不容易放空

不同运营商兼容性不好，数据包丢掉了，断了不是卡了，要体验要好，多拉几条线，买了运营商服务3根线3个地址，做负载均衡【每条线路都跑一点人进来】，不要跨运营商，用户输入的是域名-DNS域名解析-AD控制DNS域名解析过程【A记录，NS记录】-把NS解析过程接管过来-选路策略-跑满了就分到别的线路上，网络和服务器的可用性
（1）入站负载均衡
（2）出站负载均衡
（3）多台深信服服务器，外面的人选完线路后选服务器cpu内存使用率，容灾和备份
（4）会话保持

阶段三：业务扩张

解决线路故障，然后解决网络设备的单点故障了
（1）潮汐应用：【解决硬件系统利用率低的问题】选课后闲置，跑其他业务系统，虚拟化资源池化，底层资源灵活调动，—上云/服务器虚拟化【软硬件解耦/非强绑定】–资源池—资源的灵活调动—解决硬件资源利用率低的问题，虚拟化技术，利旧DRX和DRS，三个VM虚拟机，一个访问量激增的时候，监控程序马上将其他VM中的闲置cpu和内存剥离注入一台不够就虚拟多台，部署AD给客户利旧，同一管理起来，解决了资源利用率的问题。
（2）运维区：微盟删库，12亿，对网管的权限没到位
①堡垒机：网管要管理设备的时候必须登录堡垒机对你认证，能做什么，做了也要审核，设备控制权限【所有的设备，哪些人有登录权限对网管权限管理&认证&审计】、数据库控制权限，
②系统运行日志：日志审计【报警故障系统/网口硬盘温度故障日志】接口标准传到统一的日志/针对设备，操作系统的故障，告警条件设计【达到程度短信通知网管】
③防病毒服务器【统一拿病毒升级库】，杀毒软件要更新病毒库，内网是千兆的
④数据库审计【定义规则，审计到时间/人对数据库哪个表哪个字段做了什么增删修改操作】，例如市场人员访问数据库，就会告警。
⑤基线核查【大小写8位密码安全基线】操作系统更新Win10/打补丁/断网告警，
⑥安全感知【安全事件告警】黑客/泄露资料 黑客攻击日志/泄密日志（探针/摄像头/同步到大屏幕：风险的统一管控）联动他们，联合开发OEM，深信服虽然是安全龙头企业，也不可能什么都能做，什么都做的好，也会未客户补齐
（4）专线：拉一根网线连接运营商机房，两个机房打通，都是私网地址，很难截获信息，安全但是很贵。
（5）外联接入区，办事处，全国分公司访问深圳总部，业务发展大了，先讲客户业务变大了，财务，订单，销管系统，IPsecVPN设备， 默认了Ipsec功能模块，因而可以对接，ssl-ipsec二合一支持移动办公接入+支持分公司组网，Ipsec是一个标准协议【深信服的设备可以与使用标准ipsec开发的友商设备】sangforVPN私有协议，ssl里合成了ipsec模块【支持移动办公接入+分公司组网】
（5）桌面云：研发改动，不便宜【运维成本】+虚拟化技术+母盘克隆

阶段四：稳态和敏态业务

①量级很大的潮汐应用采购成本过高，便采购公有云
②研发灰度测试，应用先跑起来，用户量☞流量升级
③业务变重要了【腾讯云出问题】关键业务私有云承载，弹性要求高的放公有云上面【12306阿里云前端抢票查询登录+私有云个人信息验证支付】中间数据要打通
④成本+弹性+安全 统一管理，混合云
⑤稳态确定的业务私有云，测试潮汐待验证不确定敏态

阶段五：运营管理和服务支撑

①it的服务流程：黑客攻击了，流程机制怎么做，应该怎么配合，怎么应对突发事件与风险，如何协作，快速回复业务。
②流程的机制，人为介入去操作，搭建人员梯队，流程体系建设，流程制度，应急响应机制，运维管理支撑，安全服务，应急响应机制如何搭建的
④AF，AC，SSL ，EDR，桌面云，虚拟化，云计算，
AF：互联网出口，数据中心
AC：上网行为管控
SSL VPN：远程接入VPN
EDR：终端检测与响应